Har du koll på vad den nya dataskyddsförordningen innebär för ditt företag?
Den 25 maj 2018 kommer EU:s dataskyddsförordning att ersätta den svenska personuppgiftslagen. Det är visserligen 2 år bort men det är hög tid att redan nu sätta sig in i vad de nya reglerna innebär. De nya reglerna höjer kraven väsentligt för alla företag som behandlar personuppgifter. Förändringarna rör bland annat hur personuppgifter får användas, vilken information som ska lämnas och vilka konsekvensanalyser som ska göras.
Varför en ny dataskyddsförordning?
Internetanvändningens enorma ökning är den huvudsakliga anledningen till att EU:s medlemsländer förhandlat fram ett nytt regelverk. Den svenska personuppgiftslagen (PUL) trädde i kraft 1998. Då hade 15 % av Sveriges befolkning tillgång till internet. Idag är motsvarande siffra 92 %. Genomsnittssvensken spenderar 19 % av sin vakna tid på internet. Allt från sociala medier till banktjänster och statliga myndigheter kräver att vi har en inloggning med registrerade personuppgifter. Nuvarande lagstiftning är inte anpassad för den enorma mängd information som cirkulerar på internet idag.
Vad är personuppgifter?
I den nya förordningen så breddas definitionen av vad som utgör personuppgifter till att omfatta allt som kan identifiera en person.
Exempelvis:
- Namn
- Adress
- E-postadress
- IP-adress
- Platsinformation
- Bankuppgifter
- Ett foto
- En uppdatering i sociala medier
- Medicinsk information
Vad innebär den nya förordningen för företag?
- Skyldighet att informera om dataintrång snarast möjligt
Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera Datainspektionen om incidenten inom 72 timmar. Om det finns en risk att uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder eller bedrägeri måste även de personer som uppgifterna gäller informeras om intrånget.
- Konsekvensbedömning avseende dataskydd (Data Protection Impact Assessment)
Ett bolag som hanterar personuppgifter på ett sätt som kan medföra stora integritetsrisker måste genomföra en konsekvensanalys. Riskfylld hantering av personuppgifter kan till exempel vara storskaliga register med genetisk eller biometrisk information, allmän kameraövervakning eller uppgifter om barn. Om en sådan konsekvensanalys visar att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.
- Utse ett dataskyddsombud
Alla myndigheter och företag vars kärnverksamhet består av behandling av känsliga personuppgifter eller brottsuppgifter ska utse ett dataskyddsombud. Dataskyddsombudet ska ha särskild sakkunskap och erfarenhet av dataskyddsfrågor.
- Inbyggt uppgiftsskydd och uppgiftsskydd som standard i nya system
Inbyggt integritetsskydd innebär att ett antal skyddsmekanismer byggs in i IT-system för att säkerställa att antalet personuppgifter begränsas till nödvändig mängd, transparens för användaren, begränsad åtkomst till personuppgifter som finns lagrade i systemet och att personuppgifterna skyddas från obehörig åtkomst.
- Skärpta samtyckesbestämmelser
Utgångspunkten är att behandling av personuppgifter endast är tillåten om den registrerade har lämnat sitt samtycke. Det finns dock undantag från den regeln.
Påföljder vid brott mot dataskyddsförordningen
Det finns goda skäl för företag att redan nu se över sin hantering av personuppgifter. Brott mot de nya reglerna kan medföra kraftiga sanktioner. Företag med allvarliga brister i sitt dataskydd riskerar att få betala sanktionsavgifter som kan uppgå till hela 20 000 000 Euro eller 4 % av företagets globala omsättning.
På Datainspektionens hemsida finns en bra guide för vilka förberedelser du som företagare bör vidta innan den nya förordningen träder i kraft.